Controlo Interno: a evolução na continuidade

Aviso n.º 3/2020 e Instrução n.º 18/2020 do Banco de Portugal

Normativos em matéria de cultura organizacional, governo interno e sistema de controlo interno
27 de outubro de 2020
Agenda

1. ENQUADRAMENTO

2. O AVISO 3/2020

3. A INSTRUÇÃO 18/2020

4. RESPONDER AO DESAFIO

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 2

Enquadramento
Como surgiu o Aviso e a Instrução

O BdP publicou em Diário da República o Aviso n.º 3/2020 e no Boletim Oficial do Banco de Portugal a Instrução n.º 18/2020. Em comunicado, o supervisor
sublinhou que os normativos em questão passam a ser o referencial em matéria de conduta e cultura organizacional, sistemas de governo, de controlo interno
e de gestão de risco, incluindo políticas e práticas remuneratórias. O BdP salientou ainda que os regulamentos constituem peças muito relevantes para a
promoção da estabilidade financeira, da solidez financeira das instituições e dos interesses dos seus depositantes e demais clientes.

Prazo limite para

Entrada em
Consulta Pública
vigor Primeiro reporte
Projeto de Aviso e de Instrução
para revisão do Aviso n.º 5/2008 Aviso n.º 3/2020 e da Instrução Relatórios e demais documentos
e Aviso n.º 10/2011 n.º 18/2020

20.04.2020 16.07.2020 01.03.2021

21.02.2020 15.07.2020 16.01.2021

Comunicação Publicação Aplicação

Dois projetos regulamentares Relatório da Consulta Pública do As instituições adaptam-se ao
para consulta pública Banco de Portugal n.º 1/2020, Aviso n.º 3/2020 no prazo de 6
do Aviso n.º 3/2020 e da meses após a sua entrada em
Instrução n.º 18/2020 vigor

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 3

Enquadramento
Evolução da regulamentação em matérias de cultura, governo e controlo interno

A primeira obrigatoriedade de existência de um sistema de controlo interno remonta a uma Instrução do Banco de Portugal de 1996, sendo esta substituída
por um Aviso em 2006. Impulsionado pela “Iniciativa Better Regulation” do Conselho Nacional de Supervisores Financeiros, o BdP procedeu à publicação do
Aviso n.º 5/2008, harmonizando os requisitos exigidos às instituições financeiras em matéria de Controlo Interno. Desde então, o BdP tem incorporado no seu
cardápio de regulamentação as Orientações do COSO, BCBS e CEBS/EBA, assim como os princípios e boas práticas difundidos pela Comissão Europeia, o G30
e pelo Comité dos Organismos Europeus de Supervisão de Auditoria (CEAOB), entre outros.

Orientações
Livro Verde EBA COSO
Comissão Entreprise Risk
BCBS
Europeia EBA/GL/2015/22 Management (2012-
“The internal
2010 RGICSF (Políticas de 2019)
audit function in
“O governo Alterado pelo remuneração sãs)
banks” (2012)
das Decreto-lei n.º G30
sociedades 157/2014 e pela EBA/GL/2017/11 “Toward Effective
CNSF “Corporate
Banco de nas Lei n.º e pela Lei (Governo Interno) – Governance of
Iniciativa Banco de Portugal governance CMVM
Portugal instituições n.º 35/2018 revisão em Consulta Financial Institutions” Consulta
Better Avisos n.º 5/2008 e n.º principles for
Aviso n.º financeiras e Pública (2012) Pública n.º
Regulation 10/2011 banks” (2015)
3/2006 as políticas de 5/2020
(2007) remuneração” “Banking Conduct and
EBA/GL/2019/02
(Subcontratação) Culture – A
Permanent Mindset
• Integra num • Objetivo de • O Aviso 5/2008 teve • Reitera a • Elencam um • O RGICSF foi revisto em linha com os novos Change” (2018) • A CMVM
único harmonizar os como fontes os impossibilidade conjunto de requisitos patentes nas Diretivas CRD IV (2014) colocou em
documento as princípios e princípios do COSO, a de conceber um princípios e boas e MiFID II (2018), resultando em obrigações Consulta
disposições da requisitos framework de Basileia e crescimento práticas que acrescidas no que concerne a adequação dos • Reforçam a Pública, até 25
Instrução n.º exigidos às as recomendações do sustentável sem devem nortear a membros dos órgãos de administração e importância dos de Agosto, um
72/96 e outros instituições CEBS. uma implementação fiscalização e a estrutura e composição de mecanismos internos Projeto de
procedimentos financeiras ao • O Aviso 10/2011 sensibilização e de um sistema de remunerações (em particular, da sua das instituições que Regulamento
de controlo nível do seu promoveu uma estrutura uma gestão governo e componente variável) e alterações em matéria produzem os valores relativo ao
interno, SCI. de remuneração correta do risco controlo interno de autorizações e recurso a agentes vinculados. e os comportamentos relatório de
nomeadamente compatível com os nas grandes adequado ao que conformam a autoavaliação
os emanados interesses a longo prazo instituições setor bancário. conduta dos seus dos sistemas de
pelo BCBS. das instituições. financeiras. colaboradores. governo e
controlo
interno.
© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 4
Agenda

1. ENQUADRAMENTO

2. O AVISO 3/2020

3. A INSTRUÇÃO 18/2020

4. RESPONDER AO DESAFIO

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 5

O Aviso 3/2020 Legenda:

Mapa de alterações
Inalterado / Alvo de Alvo de alterações Alvo de alterações
Novo(s) artigo(s)
(Normas Revogadas vs. Aviso do BdP n.º 3/2020) alterações residuais relevantes muito significativas

I – Âmbito de Aplicação V – Partes relacionadas e conflitos de interesses VI – Participação de

II – Conduta e cultura organizacional
irregularidades

Cultura Deveres do órgão Código de

Objeto Partes relacionadas Conflitos de interesses Participação de irregularidades
organizacional de administração Conduta
Art. 1.º Art. 33.º Art. 34.º Art. 35.º
Art. 2.º Art. 3.º Art. 4.º

III – Governo interno, estrutura organizacional e planeamento estratégico VII – Subcontratação VIII – Políticas de seleção e designação de auditores externos

Organização, composição e fiscalização interna

Registo das reuniões
efetiva dos órgãos de administração e Comités Subcontratação Política de seleção e designação
dos órgãos colegiais
fiscalização Art. 7.º Arts. 36.º e 37.º Arts. 38.º e 39.º
Art. 8.º
Arts. 5.º e 6.º

Recursos materiais, técnicos e IX– Políticas e práticas remuneratórias

Estrutura organizacional Planeamento Estratégico humanos
Art. 9.º Art. 10.º Art. 11.º
Aspetos Remuneração dos Comité de Reporte e
Avaliação da política
gerais membros não Remunerações divulgações
de remuneração
Arts. 40.º - executivos Arts. 45.º Arts. 46.º - 47.º
Arts. 44.º
42.º Arts. 43.º
IV – Sistema de controlo interno e gestão de riscos

Estabelecimento, Responsáveis Implementação e

Segregação das X– Grupos financeiros XI – Autoavaliação
organização e funções do pelas funções de organização do sistema
funções de CI
sistema de CI controlo interno de gestão de riscos
Arts. 15.º e 16.º
Arts. 12.º - 14.º Arts. 17.º e 18.º Arts. 19.º e 20.º Relatório anual de autoavaliação pelas entidades
Grupos financeiros
reguladas
Arts. 48.º - 53.º
Arts. 54.º - 61.º
Processo de identificação/ Gestão de riscos
Definição das Função de
avaliação/acompanhamento e pelas unidades
categorias de risco gestão de riscos
controlo de riscos geradoras de negócio
Art. 21.º Art. 27.º
Arts. 22.º - 25.º Art. 26.º
XII – Documentação, sistematização de informação e XIII – Tratamento de dados
divulgação de informação ao público pessoais
Produção e
Função de Fluxos de Processo de Função de auditoria
tratamento de Documentação, sistematização de informação e divulgação
conformidade informação monitorização interna Tratamento de dados pessoais
informação de informação ao público
Art. 28.º Art. 30.º Art. 31.º Art. 32.º Art. 65.º
Art. 29.º Arts. 62.º - 64.º

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 6

 O Aviso 3/2020
Principais novidades (1/6)

Análise Comparativa (face ao anterior Aviso n.º 5/2008) Áreas de impacto Direções a envolver
ORGANIZACIONAL

Deveres do órgão de administração (3.º)

(Aviso n.º 5/2008 - Arts. 4.º, 9.º, 18.º, 20.º, 23.º)
• Revisão do Regulamento do Conselho de
• Destaque para: Administração
• Discussão com regularidade das matérias relacionadas com a conduta e cultura • Revisão do plano de formação aos
• Secretaria
organizacional; colaboradores sobre valores e regras de
Corporativa
• Informação às unidades de negócio sobre o apetite e tolerância ao risco; conduta em vigor
• Gestão de RH
• Fomento de um ambiente que encoraje o reporte de problemas sem medo de represálias • Introdução de avaliações independentes
(whistleblowing); (por entidade externa) à conduta e valores
CULTURA

• Formação obrigatória a cada dois anos sobre o código de conduta; da Instituição

• Promoção de avaliações independentes da conduta e valores da instituição, incluindo a
sua própria avaliação e a avaliação do órgão de fiscalização.
DE
GOVERNO INTERNO

Código de conduta (4.º)

(Aviso n.º 5/2008 - Art. 7.º)
• Determinação do conteúdo mínimo do Código de Conduta:
• Revisão do Código de Conduta (política e
• Desempenho da atividade em cumprimento da legislação, regulamentação e orientações processo de verificação do cumprimento),
aplicáveis; • Função Compliance
mecanismos de governo e tomada de
• Obrigatoriedade de adoção de comportamentos consonantes com o nível de tolerância ao conhecimento expresso por todos os
risco da instituição; colaboradores
• Definição dos comportamentos aceitáveis e não aceitáveis e respetivas medidas e
procedimentos de prevenção e controlo;
• Princípios e normas destinados a reger as relações com clientes;
• Consequências legais e disciplinares do seu incumprimento.

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 7

 O Aviso 3/2020
Principais novidades (2/6)

Análise Comparativa (face ao anterior Aviso n.º 5/2008) Áreas de impacto Direções a envolver
ORGANIZACIONAL

Organização e composição do órgão de administração (5º)

(Aviso n.º 5/2008 - Art. 4.º)
• Revisão da Política de identificação, seleção e
Novas exigências para os Órgãos de administração e fiscalização:
avaliação do conselho de administração e
• Secretaria
• Assegurar que a instituição dispõe de políticas e processos internos que permitam (i) identificar e fiscalização (Fit&Proper)
Corporativa
avaliar as necessidades ao nível da sua composição e organização (incluindo quais os pelouros a • Política de sucessão (lista atualizada de
• Gestão de RH
distribuir por cada membro com funções executivas) e (ii) selecionar e avaliar potenciais candidatos possíveis candidatos a membros dos
a membros; órgãos de administração e de fiscalização)
CULTURA

• Política de sucessão que inclua uma lista permanentemente atualizada de possíveis candidatos a
cargos nos órgãos de administração e fiscalização.
DE
GOVERNO INTERNO

Registo das reuniões dos órgãos colegiais (8º)

(N/A)
• Especial enfâse ao conteúdo das atas que passa agora a ter de contemplar não só a decisão final,
• Terms of Reference dos Comités,
mas também toda a discussão e fundamentação (ex. o sentido de voto dos membros votantes e
nomeadamente ao nível da estrutura e • Secretaria
eventuais opiniões divergentes);
detalhe das atas Corporativa
• Exigência de assinatura de todos os participantes na reunião, bem como indicação expressa dos • Sistema informático de gestão documental
membros não presentes;
• Obrigatoriedade de existência de um sistema informático de gestão documental respeitante às
reuniões.

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 8

 O Aviso 3/2020
Principais novidades (3/6)

Análise Comparativa (face ao anterior Aviso n.º 5/2008) Áreas de impacto Direções a envolver

Gestão de riscos pelas unidades de negócio (26.º) • Formalização da declinação do apetite ao risco
RISCOS

(Aviso n.º 5/2008 - Art. 21.º n.º 5) para as áreas de negócio, de forma a assegurar
• Função Gestão de
que os riscos assumidos pelas áreas
Riscos
permanecem dentro dos limites de tolerância ao
• Função Compliance
• Formalização clara da obrigatoriedade de incluir controlos de primeira linha de defesa e limites para risco definidos nas políticas de risco da
os riscos que as unidades de negócio podem assumir. instituição
DE
GESTÃO
DE

Função de gestão de riscos (27.º) e Função de conformidade (28.º)

SISTEMA

(Aviso n.º 5/2008 – Art. 16.º)

• Enfoque na elaboração de relatórios periódicos sobre a gestão de risco e relatório anual que inclua • Governo e responsabilidades
uma avaliação da independência da função e uma descrição de todas as deficiências identificadas • Relatório anual com uma avaliação da • Função Gestão de
por qualquer entidade relativamente à própria função, que são disponibilizados pelo responsável da independência da função e uma descrição Riscos
função aos órgãos de administração e de fiscalização e ao Comité de Riscos, quando constituído. de todas as deficiências identificadas • Função Compliance
entidade relativamente à própria função
• Enfoque na elaboração relatório anual em matéria de conformidade e relatório anual que inclua uma
avaliação da independência da função e uma descrição de todas as deficiências identificadas por
qualquer entidade relativamente à própria função, que são disponibilizados pelo responsável da
função aos órgãos de administração e de fiscalização e ao Comité de Riscos, quando constituído.

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 9

 O Aviso 3/2020
Principais novidades (4/6)

Análise Comparativa (face ao anterior Aviso n.º 5/2008) Áreas de impacto Direções a envolver

Produção e tratamento de informação (29.º)

(Aviso n.º 5/2008 - Arts. 19.º e 20.º)
• Sistemas de
• Arquitetura de dados e tecnologias da
Destaque para as responsabilidades do órgão da administração, o mesmo é responsável por: Informação
informação, com potencial aumento do âmbito
• Função Gestão de
• Assegurar que a instituição dispõe de processos adequados de obtenção, produção e tratamento de dos domínios de dados alvo de detalhe e
Riscos
informação que permitem apoiar a tomada de decisão quer pelo próprio quer pelos demais controlo
• Função Compliance
membros da direção. • Evidências e mecanismos de controlo
• Função Auditoria
E FLUXO DE DADOS

• Pelo desenvolvimento, implementação e manutenção de processos formais de obtenção, produção e • Avaliações periódicas independentes, a
Interna
tratamento de informação substantiva, apropriados à dimensão, natureza, âmbito e complexidade realizar por entidade externa à instituição
• Data Protection
das atividades desenvolvidas, bem como à apetência para o risco da instituição, que garantam a sua
fiabilidade, integridade, consistência, completude, validade, tempestividade, acessibilidade e
granularidade.

Fluxos de informação (30.º)

TRATAMENTO

(Aviso n.º 5/2008 - Art. 19.º) • Sistemas de

Informação
• Revisão e maior formalização do modelo de
• O órgão de administração assegura que a instituição possui processos formais, transparentes, • Função Gestão de
governo associado aos processos de
relevantes e ajustados às necessidades da instituição. Riscos
comunicação e transmissão de informação
• Função Compliance
• Avaliações periódicas independentes, a
O órgão de administração assegura ainda que a estrutura organizacional da instituição: • Função Auditoria
realizar por entidade externa à instituição
• Promove o fluxo de informação necessário entre as partes relevantes num processo; Interna
• Inclui uma descrição adequada dos deveres e responsabilidades dos colaboradores, incluindo os • Data Protection
membros dos órgãos de administração e de fiscalização, em matéria de fluxos de informação;
• Assegura a confidencialidade necessária nos fluxos de informação.

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 10

 O Aviso 3/2020
Principais novidades (5/6)

Análise Comparativa (face ao anterior Aviso n.º 5/2008) Áreas de impacto Direções a envolver

Processo de monitorização (31.º)

(Aviso n.º 5/2008 - Art. 21.º) • Secretaria
• Plano Plurianual de atividades do Órgão de
Corporativa
• Responsabilidade por parte do órgão de administração relativa à aprovação e implementação do fiscalização, com identificação de ações de
• Função Gestão de
processo de monitorização, bem como por assegurar que as ações e avaliações de controlo são controlo
Riscos
executadas. • Base de dados de deficiências e
• Função Compliance
• Responsabilidade do órgão de fiscalização na realização de ações de controlo dentro das suas incumprimentos com caraterização mínima
• Função Auditoria
MONITORIZAÇÃO

competências. definida no Aviso

Interna
• Existência de base de dados de todas as deficiências e incumprimentos detetados.

Função de auditoria interna (32.º)

(Aviso n.º 5/2008 - Art. 22.º)
• Plano plurianual de auditoria
• Formalização da necessidade de existência de plano de auditoria plurianual.
• Relatório anual com uma avaliação da
• Enfoque na elaboração de relatório anual que inclua uma avaliação da independência da função e independência da função e uma descrição • Função Auditoria
uma descrição de todas as deficiências identificadas por qualquer entidade relativamente à própria de todas as deficiências identificadas Interna
função, que são disponibilizados pelo responsável da função aos órgãos de administração e de entidade relativamente à própria função
fiscalização e ao Comité de Riscos, quando constituído. • Avaliação independente ao papel da FAI
• A Função de Auditoria Interna terá de ser avaliada pelo menos de 5 em 5 anos por entidade
externa.

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 11

 O Aviso 3/2020
Principais novidades (6/6)

Análise Comparativa (face ao anterior Aviso n.º 5/2008) Áreas de impacto Direções a envolver
RELACIONADAS

Partes relacionadas (33.º) Necessidade de revisão e implementação de:

• Política de transações com partes relacionadas • Secretaria
(Aviso n.º 5/2008 - Art. 15.º n.º 1 c)
(pode ser tratada no âmbito da política de Corporativa
• O Aviso n.º 5/2008 não continha referências muito explícitas a partes relacionadas, que ganham conflitos de interesse) • Função Gestão de
agora particular ênfase enquanto uma fonte relevante de risco para as entidades, consagrando-se • Lista completa e atualizada Riscos
PARTES

um regime específico para o acompanhamento das relações e transações com partes relacionadas trimestralmente de partes relacionadas da • Função Compliance
ou equiparadas a tal. instituição

Análise Comparativa (face ao anterior Aviso n.º 5/2008) Áreas de impacto Direções a envolver
DE INTERESSES

Conflitos de interesses (34.º)

(Aviso n.º 5/2008 - Arts. 6.º n.º 5; 9.º n.º 2; 17.º n.º 2)
• Instituição de regime próprio aplicável aos conflitos de interesse, matéria tratada apenas Necessidade de revisão e implementação de:
residualmente e de forma muito lata no Aviso n.º 5/2008; • Política de prevenção, comunicação e sanação
de conflitos de interesses
• Maior amplitude no conceito de “conflito de interesse”, abrangendo: • Função Compliance
CONFLITO

• Repositório centralizado de conflitos de

• Conflitos atuais ou potenciais; interesse
• Política de aceitação de liberalidades
• Conflitos institucionais e respeitantes aos trabalhadores (distinguindo-se, neste caso,
entre conflitos financeiros, profissionais, pessoais e políticos);
• Conflitos resultantes de cargos exercidos no passado e de relações pessoais passadas.

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 12

O Aviso 3/2020
Principais responsabilidades dos Órgãos de Administração e de Fiscalização
DESTAQUES
Ó RGÃO DE ADMINISTRAÇÃO
• O Órgão de Administração é responsável por garantir a aplicação do código de conduta e
por promover um ambiente de controlo como um elemento essencial para a resiliência
da instituição.
• É responsável por assegurar que os colaboradores estão cientes dos valores da
instituição e das regras de conduta em vigor, promovendo ações de formação sobre esta
matéria e informando de forma regular sobre o nível de tolerância ao risco da instituição.
• Assegura a implementação das medidas destinadas à correção de deficiências detetadas.
AVALIAÇÃO - CONTEÚDO
Artigo 57º n.º1 a) – e)
• Opinião global, devidamente fundamentada, sobre a adequação e eficácia da cultura
organizacional da instituição e dos seus sistemas de governo e controlo interno e
sobre práticas e políticas remuneratórias e demais matérias tratadas no presente
Aviso;
• Resumo das ações empreendidas e das medidas implementadas para corrigir as
deficiências detetadas no período de referência;
• Quando aplicável, resultados das avaliações efetuadas quanto à adequação dos
processos de obtenção, produção e tratamento de informação;
• Quando aplicável, confirmação expressa de que é entendimento do órgão de
administração que a subcontratação de tarefas operacionais das funções de controlo
interno dá cumprimento às normas aplicáveis e fundamentação do referido
entendimento.
© 2020. Para informações, contacte Deloitte Risk Advisory, S.A
DESTAQUES
Ó RGÃO DE FISCALIZAÇÃO
• O órgão de fiscalização deve ser dotado de toda a informação e meios necessários para o
cabal exercício das competências de fiscalização interna efetiva, em particular sobre a FAI.
• É responsável por aprovar anualmente o plano de ações de auditoria e apreciar os
regulamentos das funções de controlo, o código de conduta, etc.
• Deve garantir a fiabilidade e completude de toda a informação produzida pela instituição,
realizar ações de controlo da cultura organizacional e dos sistemas de governo e controlo
interno e participar no processo de comunicação de irregularidades.
AVALIAÇÃO - CONTEÚDO
Artigo 56º n.º1 a) – j)
• Opinião clara, detalhada e fundamentada, expressa pela positiva, sobre a adequação e
eficácia da cultura organizacional;
• Resumo da atividade desenvolvida pelo órgão de fiscalização no período de referência;
• Apreciação sobre o estado de concretização das medidas definidas no período de
referência para corrigir as deficiências detetadas;
• Opinião sobre a qualidade do desempenho e adequada independência das funções de
controlo interno;
• Declaração sobre a fiabilidade dos processos de preparação de reportes prudenciais e
financeiros;
• Declaração sobre a fiabilidade dos processos de preparação de reportes prudenciais e
financeiros;
• Declaração sobre o adequado cumprimento de todos os deveres de divulgação ao público.
13
Agenda

1. ENQUADRAMENTO

2. O AVISO 3/2020

3. A INSTRUÇÃO 18/2020

4. RESPONDER AO DESAFIO

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 14

A Instrução 18/2020
Relatório de Autoavaliação e outros relatórios

O Banco de Portugal considerou relevante substituir o atual relatório de controlo interno por um relatório de autoavaliação, cujos requisitos são detalhados na
Instrução n.º 18/2020 do Banco de Portugal, tornando mais explícita a responsabilidade das instituições relativamente às matérias em causa, assegurando
que promovem uma reflexão efetiva sobre a adequação dos sistemas implementados face às suas necessidades concretas.

As entidades supervisionadas
passam a estar obrigadas a realizar
uma autoavaliação da adequação e
eficácia da sua cultura organizacional
e dos seus sistemas de governo e
controlo interno.
Esta autoavaliação é vertida num
relatório anual que é elaborado com
referência a 30 de novembro e
submetido até ao dia 31 de
dezembro de cada ano.
Inclui, no mínimo, avaliações elaboradas
pelos órgãos de administração e de
fiscalização das entidades supervisionadas e
relatórios elaborados pelas funções de
controlo interno contendo uma avaliação
sobre a independência da função e
informações sobre todas as deficiências
identificadas relativamente à mesma.
O conteúdo mínimo destas
avaliações é consagrado no Aviso,
clarificando-se a necessidade de
serem abrangentes, conclusivas e
fundamentadas, sendo também
identificadas as fontes de informação
internas e externas utilizadas para
suportar as avaliações efetuadas.

Adicionalmente, a Instrução n.º 18/2020 prevê ainda os requisitos associados ao Relatório anual sobre participação de irregularidades, ao Reporte do
universo de colaboradores que têm impacto material no perfil de risco da instituição e Reporte relativo ao processo de aprovação de um nível
máximo mais elevado da componente variável da remuneração.
© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 15
A Instrução 18/2020
Detalhe da informação a remeter relativa ao reporte de deficiências

Âmbito do Relatório

• Descrição das deficiências classificadas com nível F3 “Elevada” ou nível F4 “Severa”, abertas no período
ou abertas há mais de 1 ano
• Número de deficiências classificadas com nível F1 “Reduzida” ou nível F2 “Moderada”, abertas no
período ou abertas há mais de 1 ano
• Descrição de deficiências classificadas com nível F1 “Reduzida” ou nível F2 “Moderada” que
isoladamente sejam pouco relevantes, mas que possam, no seu conjunto, evidenciar uma deterioração
dos sistemas de governo e controlo interno (a avaliar pelas funções de controlo interno da Instituição)

Identificação de alterações substanciais

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 16

A Instrução 18/2020
Determinação do impacto e classificação de deficiências

A definição de deficiência surge no Aviso 3/2020, no âmbito do artigo 13.º Organização do sistema de controlo interno. A definição de deficiência não difere
substancialmente da definição anteriormente prevista no Aviso 5/2008, sendo a nova definição a seguinte:

“(…) o conceito de deficiências é entendido como o conjunto das insuficiências, potenciais ou efetivas, ou das oportunidades de introdução de melhorias que
permitam fortalecer a cultura organizacional e os sistemas de gestão de riscos, de governo e controlo interno relativamente a todas as matérias abrangidas pelo
presente Aviso (…)”.

Adicionalmente, a Instrução 18/2020 no seu Anexo II concretiza a metodologia para classificação das deficiências, algo que não existia no Aviso 5/2008.

DEFICIÊNCIA DECORRENTE DO NÍVEIS DE CLASSIFICAÇÃO DA

INCUMPRIMENTO DE: IMPACTO DEFICIÊNCIA

Passa a relevar a fonte da deficiência: Passam a existir quatro níveis de O impacto contribui para a classificação
› Legislação/ Regulamentação/ impacto aplicáveis às deficiências: final da deficiência, também ela com
Normativo interno – aplicável a todos o › Reduzido quatro níveis:
níveis de impacto › Moderado › F1 – Reduzida
› Soft law / Best Practices – apenas › Elevado › F2 – Moderada
aplicáveis aos níveis de impacto Reduzido › Muito elevado › F3 – Elevada
e Moderado. › F4 – Severa

A classificação de deficiências será alvo de validação formal através de relatório emitido pelo responsável da função de auditoria interna e de declarações
expressas do órgão de administração e do órgão de fiscalização sobre a adequação da classificação atribuída às deficiências classificadas com nível F3
“elevada” ou nível F4 “severa (alíneas e/f do 1 do artigo 2.º da Instrução 18/2020).
© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 17
A Instrução 18/2020
Calendário de reporte

Prevê-se o seguinte calendário de submissão dos reportes que incluem informação sobre as deficiências:

2020 2021

30 Novembro 2020 01 Março 2021 31 Dezembro 2021

Preparação e recolha de informação para (data de referência: omisso – razoável assumir final do ano ou 1 mês antes) (data de referência: 30 de novembro de 2021)
reporte em 2021: • Relatório anual de autoavaliação • Relatório anual de autoavaliação
• Relatório anual de autoavaliação das • Relatório anual de autoavaliação do grupo • Relatório anual de autoavaliação do grupo
funções de controlo
• Relatório de participação de (data de referência: 30 de novembro de 2020) (data de referência: 30 de novembro de 2020)
irregularidades • Relatório anual de autoavaliação das funções de controlo • Relatório anual de autoavaliação das funções de
• Relatório de participação de irregularidades controlo
• Relatório de participação de irregularidades
(data de referência: data efetiva de reporte)
• Comunicação do universo de colaboradores com impacto material no perfil de risco da Instituição (data de referência: data efetiva de reporte)
• Comunicação do universo de colaboradores com
• Plano de atividades 2021 para resposta ao aviso n.º 3/2020 (incluindo plano de formação para órgãos de impacto material no perfil de risco da Instituição
administração e de fiscalização, pelos demais elementos da direção de topo e pelos titulares de funções
essenciais)

A definir
Até 5 dias após a data da convocatória (data de referência: Data da convocatória da Assembleia Geral)
• Proposta com o detalhe do nível máximo da componente variável de remuneração a apresentar em Assembleia Geral
Até 5 dias após a data da convocatória (data de referência: Data da Assembleia Geral)
• Cópia da ata da Assembleia Geral com a aprovação do nível máximo da componente variável de remuneração

* A descrição das eventuais deficiências detetadas por cada função, desde a data de elaboração do relatório do ano anterior, e que ainda não se encontrem integralmente corrigidas, e a descrição de eventuais deficiências identificadas em
relatórios anteriores e que ainda se mantenham, deve refletir o teor dos relatórios das funções de "compliance", de gestão de riscos e de auditoria interna submetidos ao órgão de administração até 30 dias antes da data de envio do relatório ao
Banco de Portugal (número 10 do artigo 25.º do Aviso 5/2008).

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 18

Agenda

1. ENQUADRAMENTO

2. O AVISO 3/2020

3. A INSTRUÇÃO 18/2020

4. RESPONDER AO DESAFIO

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 19

Responder ao desafio
Entendemos que a resposta ao desafio, pela sua abrangência e multidisciplinaridade deve seguir uma abordagem estruturada e eficiente:
2.
1. CRIAÇÃO GRUPO TRABALHO
• Identificação de sponsors
e líder
• Identificação dos
membros do grupo de
trabalho
• Estruturação do âmbito e
objetivos do grupo de
trabalho
© 2020. Para informações, contacte Deloitte Risk Advisory, S.A
3. ANÁLISE DE GAPS E PLANO DE
IMPLEMENTAÇÃO
PRÉ-AVALIAÇÃO DE IMPACTOS
• Análise de informação
• Realização de sessões de
análise de gaps, por bloco
• Identificação de ações, meios
e timings necessários para
implementação
• Pré-avaliação de impactos • Mapear ações com outros
e identificação das projetos em curso/previstos
Direções com
responsabilidade sobre • Construção de Plano de
cada requisito Implementação integrado
• Revisão dos Planos de
• Identificação dos blocos
lógicos para abordar a Atividade das Funções de
análise de gaps Controlo para responder ao
Plano definido
20
Obrigado pela sua
atenção.
GONÇALO QUINTINO | gquintino@deloitte.pt
PARTNER

SANDRA MARTINS | smartins@deloitte.pt

Estamos ao dispor ASSOCIATE PARTNER

para Vos apoiar na

resposta a este PAULO MARQUES | paumarques@deloitte.pt
SENIOR MANAGER
desafio.
ANTÓNIO ALVES | antoalves@deloitte.pt
MANAGER

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A 21

“Deloitte” refere-se a uma ou mais firmas membro e respetivas entidades relacionadas da rede global da Deloitte Touche Tohmatsu Limited
("DTTL"). A DTTL (também referida como "Deloitte Global") e cada uma das firmas membro são entidades legais separadas e independentes. A
DTTL não presta serviços a clientes. Para mais informação aceda a www.deloitte.com/pt/about.

A Deloitte é líder global na prestação de serviços de audit and assurance, consulting, financial advisory, risk advisory, tax e serviços relacionados.
A nossa rede de firmas membro compreende mais de 150 países e territórios e presta serviços a quatro em cada cinco entidades listadas na
Fortune Global 500®. Para conhecer o impacto positivo criado pelos aproximadamente 312.000 profissionais da Deloitte aceda a
www.deloitte.com.

© 2020. Para informações, contacte Deloitte Risk Advisory, S.A.